Vom Datenschutz und der Abhängigkeit von Dienstleistern

Ein Unternehmen, eine Arztpraxis, ein Krankenhaus oder sonstige Einrichtungen setzen oftmals eine Vielzahl von Dienstleistern ein. Aus wirtschaftlicher Sicht bietet das Auslagern von Leistungen sicherlich Vorteile. Mit Blick auf die IT-Sicherheit und den Datenschutz ergeben sich daraus jedoch zusätzliche Anforderungen und ggf. weniger vorteilhafte Verbindungen. Was es mit dem Datenschutz und der Abhängigkeit von Dienstleistern auf sich hat, erläutern wir in diesem Beitrag.

Dienstleister als Auftragsverarbeiter

Wenn wir über den Datenschutz schreiben oder reden, geht es in Bezug zu Dienstleistern zumeist um solche gemäß Art. 4 Nr. 8 DSGVO. Um es klarer auszudrücken: Wir meinen diese Dienstleister, mit denen ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen ist. Beispiele für solche Dienstleister bzw. Auftragsverarbeitungstätigkeiten sind folgende:

1) Anbieter von Softare-as-a-Service,

2) Unternehmen, die Dokumente und Datenträger im Auftrag vernichten,

3) externe Dokumenten-Scan-Dienste,

4) ausgelagerte Archivierung bei einem darauf spezialisierten Dienstleister,

5) Dienstleister zur Besucherein- und ausgangsdokumentation oder auch

6) Speicherung personenbezogener Daten auf Servern eines anderen Anbieters, auch bekannt als Rechenzentrum oder „Cloud“.

Übrigens gibt es weitere Beispiele in Orientierungshilfen der Datenschutzaufsichtsbehörden. Das Bayerische Landesamt für Datenschutzaufsicht hat eine Übersicht erstellt (Link). Diese erklärt anschaulich, wann eine Auftragsverarbeitung vorliegt, so auch das Kurzpapier Nr. 13 der Datenschutzkonferenz (kurz: DSK).

Fehlende oder mangelhafte Prüfung von Auftragsverarbeitungsverträgen

Nun haben wir oftmals den Eindruck, dass Unternehmen, die Dienste auslagern, die Wichtigkeit eines datenschutzkonformen Auftragsverarbeitungsvertrages nicht erkennen. Möglicherweise wissen diese auch nicht, dass solch ein Vertrag abzuschließen ist. Wenn der Auftragnehmer diesen dann beispielsweise vorlegt, unterschreiben sie ihn möglicherweise sogar ohne fachkundige Prüfung. Unsere Erfahrung dabei zeigt oftmals, dass entweder bestimmte Rechte des Auftraggebers und Pflichten des Auftragnehmers gemäß Art. 28 Abs. 3 DSGVO keine Erwähnung finden. Oft liest man auch, dass der Auftragnehmer mithilfe von entsprechenden Formulierungen versucht, die Rechte des Auftraggebers einzuschränken. – Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat hierzu eine Checkliste bereitgestellt (Link). Aus dieser lässt sich erkennen, welche Formulierungen, Bedingungen etc. unter Umständen zu einem nicht-datenschutzkonformen Auftragsverarbeitungsvertrag führen. –

Relevanz eines datenschutzkonformen Auftragsverarbeitungsvertrages

Für einen Auftraggeber, also die Partei, die eine Leistung in Auftrag gibt, ist es nicht nur aus gesetzlicher Sicht wichtig, einen datenschutzkonformen Auftragsverarbeitungsvertrag mit Auftragnehmern abzuschließen. Schließlich besteht einerseits nicht nur die Gefahr von Bußgeldern seitens der zuständigen Datenschutzaufsichtsbehörde. Andererseits ist dies ein Weg für den Auftraggeber bei Auslagerung von Diensten den Schutz der Rechte und Freiheiten betroffener Personen gewährleisten zu können. Er gilt weiterhin als Verantwortlicher für die Verarbeitung personenbezogener Daten, also auch bei der eventuellen Auslagerung der Verarbeitungstätigkeit. Der Verantwortliche benötigt auch keine Einwilligung für das gesetzlich privilegierte Outsourcing. – In diesem Beitrag erfahren Sie mehr zu den relevanten Regelungen eines Auftragsverarbeitungsvertrages. –

Negativfolgen bei Mängeln im Auftragsverarbeitungsvertrag

Wenn ein Auftragsverarbeitungsvertrag aus welchen Gründen auch immer nicht datenschutzkonform ist, bedeutet dies u. U. dass beispielsweise ein Krankenhaus nicht vollständig auf eine Betroffenenanfrage gemäß Art. 15 – 22 DSGVO reagieren könnte. In anderen Fällen könnte beispielsweise eine Behörde ihre Kontrollpflichten nicht vollständig erfüllen, wenn in den „Auftragsverarbeitungsvertrag“ festgelegt ist, dass schriftliche Dokumentationen des Auftraggebers ausreichen müssen und Vor-Ort-Termine nicht möglich sind oder nur mit sehr spezifischen Voraussetzungen. Ein Verein ist möglicherweise nicht in der Lage, von seinem Weisungsrecht Gebrauch zu machen oder in nur beschränktem Maß. Hinzukommen kann, dass ein Verantwortlicher etwaige Meldepflichten bei einem vorliegenden Datenschutzvorfall nicht einhalten kann.

Weiterführende Schwachstellen beim Auftraggeber

Wenn ein Unternehmen, Verein, Krankenhaus o. Ä. sich also entscheidet, Verarbeitungsprozesse auszulagern, muss es auch dabei seine Pflichten als Verantwortlicher gemäß der DSGVO erfüllen. Ist der Auftragsverarbeitungsvertrag nicht datenschutzkonform, begibt der Verantwortliche sich in eine gewisse Abhängigkeit. Er muss darauf vertrauen können, dass der Auftragnehmer ebenfalls Maßnahmen unternimmt, um die Grundsätze der Verarbeitung personenbezogener Daten einzuhalten. Des Weiteren ist es ebenso wichtig, dass der Auftragnehmer sich seiner Pflichten gegenüber dem Auftraggeber bewusst ist und diesen nachkommt.

Genau dies ist leider nicht immer gegeben. Nun könnte man darüber spekulieren, woran dies liegt, was aber nicht Ziel dieses Beitrages ist.

Mögliche Lösungen

Es gibt nicht nur eine Lösung eventueller Probleme i. S. d. DSGVO mit Auftragnehmern. Für ein Unternehmen ist die mögliche bessere Lösung, so viele Verarbeitungsprozesse wie möglich auf eigenen Servern zu betreiben. Da auch dies wiederum entsprechende IT-Kenntnisse verlangt, ist diese Lösung nicht zwangsläufig für jede Einrichtung die geeignete. Kommen dann doch externe Dienstleister zum Einsatz, ist es notwendig, diese genau zu prüfen. Hat ein Auftragnehmer zusätzlich eine Niederlassung in einem Drittland, ist auch dies genau zu betrachten. Es mag weit entfernt klingt, dabei hilft es ggf. aber auch, die politische Situation im Auge zu halten, um etwaige relevante Änderungen voraussehen zu können. So lassen sich etwaige nachteilige Folgen im Voraus regeln bzw. bestimmte Entscheidungen fallen dann womöglich auch anders aus.

Gemeinsame Verantwortlichkeit

Nun haben wir die ganze Zeit aus Sicht der Auftragsverarbeitung geschrieben. Gewisse Relevanz hat diese Thematik übrigens auch bei einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO. Es ist schließlich anzunehmen, dass ein Verantwortlicher, der die Vorgaben der DSGVO einhält, auch mit einem Vertragspartner arbeiten möchte, der ebenso Maßnahmen zum Schutz der Rechte und Freiheiten betroffener Personen ergriffen hat.

Fazit

Wer externe Dienstleister zur Erledigung von Verarbeitungsprozessen einsetzt, muss sich aus Sicht des Datenschutzes darauf verlassen können, dass diese die DSGVO einhalten. Darüber muss sich ein Verantwortlicher im Rahmen eines Ausschreibungs- bzw. Auswahlprozesses vorab informieren. Im Zuge dessen sind der vorgelegte Auftragsverarbeitungsvertrag und die technischen und organisatorischen Maßnahmen fachlich qualifiziert prüfen zu lassen. Die Pflichten des Auftragsverarbeiters und die einzuhaltenden Maßnahmen legen die Geschäftspartner vertraglich, u. a. mithilfe des Auftragsverarbeitungsvertrages, fest. So ist es dann auch möglich, eine Abhängigkeit vom Dienstleister, die nachteilige Folgen für den Verantwortlichen haben kann, zu vermeiden.

Gern unterstützen und beraten wir Sie auch hierbei i. S. d. Datenschutzes und prüfen Auftragsverarbeitungsverträge und die hierbei relevanten Dokumentationen wie die der technischen und organisatorischen Maßnahmen. Kontaktieren Sie uns gern noch heute.